Managed Identity を有効化して Graph API の権限を追加

Graph API を叩く方法としては Service Principal を作成するのが一般的のようですが、Service Principal はあまり好きではないので Managed Identity を使って API を叩きます。

完璧な記事が既にあるので、Managed Identity の有効化の後は以下を参考に Graph API を叩くための権限を追加してください。自分は Cloud Shell で行いました。

たったこれだけの作業で Managed Identity で Graph API の実行が可能になります。Service Principal に必要な認証情報を App Service に別途持たせる必要がないので最高ですね。

Easy Auth を有効化して Claims に Security Group を追加

次に Easy Auth を有効化しますが、Azure AD を選んで Express でアプリケーションを作成すれば良いです。

アプリケーションの作成後は Azure AD のアプリケーション一覧から、作成したアプリケーション設定の中にある Token configuration を開きます。

昔は Manifest を直接弄る必要がありましたが、今は GUI でポチポチ設定できます。

Add groups claim を選ぶと、どのタイプのグループを Claims に含めるか選べるので、今回は Security groups を選択して保存します。複数選べるので必要なものを選べばよいです。

Token の種類によって値として何を含めるかをカスタマイズできますが、Azure AD をソースとして使っている場合は Object ID しか実質入ってこないようになっているみたいです。

Emit groups as role claims にチェックを入れると、Claim 名が groups から roles になります。

roles に含めるようにすると ASP.NET Core などから使いやすくなるのかもしれませんが、結局は Object ID しか入ってこないのでロール名へのマッピングは必要になるでしょう。

これで Easy Auth での認証時に Claims に紐づいているグループの Object ID が入るようになりました。

Azure Functions で Claims と Graph API を利用

後はアプリケーションで Claims に含まれている Object ID と Graph API から取得した Security Group 一覧を使ってマッピングすれば良いです。簡単にするために Azure Functions で書いています。

実際にアプリケーションで使いたいので Startup と DI を使っていろいろ分離しておきました。

public class Startup : FunctionsStartup
{
    public override void Configure(IFunctionsHostBuilder builder)
    {
        builder.Services.AddSingleton<IGraphServiceClient>(provider =>
        {
            var graphServiceClient = new GraphServiceClient(new DelegateAuthenticationProvider(async requestMessage =>
            {
                var accessToken = await new AzureServiceTokenProvider().GetAccessTokenAsync("https://graph.microsoft.com/");

                requestMessage.Headers.Authorization = new AuthenticationHeaderValue("Bearer", accessToken);
            }));

            return graphServiceClient;
        });

        builder.Services.AddSingleton<AzureAdGroupsAccessor>();
    }
}

GraphServiceClient はシングルトンにしたいので、DI を使って作成するようにしています。Managed Identity を使って Access Token を取る部分も含めています。

実際に Graph API を使って Security Group 一覧を取る部分は Accessor として別クラスにしています。

public class AzureAdGroupsAccessor
{
    public AzureAdGroupsAccessor(IGraphServiceClient graphServiceClient)
    {
        _graphServiceClient = graphServiceClient;
    }

    private readonly IGraphServiceClient _graphServiceClient;

    public async Task<IList<Group>> GetSecurityGroupAsync()
    {
        var groups = await _graphServiceClient.Groups
                                              .Request()
                                              .Filter("securityEnabled eq true")
                                              .GetAsync();

        return groups;
    }
}

起動時に 1 回だけ取得して、更新が必要な場合は Azure Functions 再起動で十分だと思いますが、簡単にするためのその辺りは省きました。必要なら AsyncLazy<T> などで初期化してあげれば良いです。

ここまで準備が出来れば、後は Function 本体でメソッド呼び出せば Security Group の一覧が取れます。今回は roles に追加するオプションを有効にしたので、Claims から取る時の名前も roles になっています。

public class Function1 : HttpFunctionBase
{
    public Function1(IHttpContextAccessor httpContextAccessor, AzureAdGroupsAccessor azureAdGroupsAccessor)
        : base(httpContextAccessor)
    {
        _azureAdGroupsAccessor = azureAdGroupsAccessor;
    }

    private readonly AzureAdGroupsAccessor _azureAdGroupsAccessor;

    [FunctionName("Function1")]
    public async Task<IActionResult> Run(
        [HttpTrigger(AuthorizationLevel.Anonymous, "get")] HttpRequest req,
        ILogger log)
    {
        var groups = await _azureAdGroupsAccessor.GetSecurityGroupAsync();

        var assignedGroups = User.FindAll("roles").Select(x => x.Value).ToArray();

        return Ok(new { assignedGroups, groups });
    }
}

最近 Azure Functions で HTTP API を書くときは HttpFunctionBase を使うようにしているので、ClaimsPrincipal へのアクセスとレスポンスを返すのが楽です。

作成した Function App をデプロイすれば、後は確認のためにユーザーに Security Group を割り当てます。

Azure AD の UI がちょいちょい良くなっているので、割り当て自体はサクッと行えるはずです。

最後に作成した Function へブラウザからアクセスすると、Easy Auth での認証が走った後に紐づいている Object ID と Security Group の一覧が返ってくるはずです。

ブラウザだと JSON が見にくかったので、Postman を使って同じ API を叩いたのが以下の例です。

これで API 毎に必要なロールを定義して、アクセス制限を実装できるようになりました。

ASP.NET Core だと ClaimsPrincipal のオーバーライドや、ポリシーの定義が可能なので Authorize 属性で許可ロールを指定できますが、Azure Functions だとチェックするメソッドを用意するしかないかなと思います。Functions Filter は先行きがかなり怪しいです。

TL;DR

• エンドポイントには App Service (Windows, ASE) が使われている
• API 部分は Linux Consumption で動作していて、エンドポイントからリライト
  • Linux Consumption は Run From Package で実行されている
• Static Web Hosting 部分はエンドポイントから恐らく Blob Storage などへリライト
• デプロイ用 GitHub Actions では app / api それぞれでビルドして zip を作成
  • 良くある Push 型ではなく Pull 型が使われている
• Global Content Distribution = 全世界の App Service にデプロイ + Traffic Manager でルーティング
  • ただし API 部分は作成時に指定したリージョンのみ

基本的な設定

Static Web Apps は Global Content Distribution を謳っているので、リソース作成時のリージョン指定は何の意味があるのか、冷静になって考えると疑問です。とりあえず一番遠そうな East US 2 に作成しました。

現時点では API は単一リージョンのデプロイになるので、その指定と考えておけば良いです。

リソース作成後に設定から弄れる内容は結構少ないです。Static Content 向けなので当たり前感はありますが、Azure Functions 向けに App Settings の追加だけは行えるようになっています。

ARM レベルだともうちょっと弄れるのではと思いましたが、特に違いはありませんでした。Private Link 対応は比較的近いうちに来るんだろうなと思わせる程度です。

プラットフォーム

とりあえず最初に nslookup でホスト名を調べるのは義務という感じなので、azurestaticapps.net なホスト名に対して名前解決を行います。

この時点で CDN が使われておらず、Traffic Manager と App Service Environment が使われていることが分かりますね。p.azurewebsites.net は External ASE を作成した時に付けられるホスト名だからです。

更に East US 2 に作成したはずなのに East Asia の ASE のアドレスが返ってきていることも分かります。各リージョンに存在する ASE に自動でデプロイされていて、Traffic Manager が近いものを返しているようです。

今日に App Service Team への Ask the Team というセッションがあったので目いっぱい質問をしてみたところ、現時点では世界中のリージョンにデプロイされていて、GA までには CDN が追加されるようです。

module.exports = async function (context, req) {
    context.log('JavaScript HTTP trigger function processed a request.');

    context.res = {
        body: process.env
    };
};

ビルド・デプロイ

最後にデプロイ周りですが、Static Web Apps 専用の GitHub Actions がビルドからデプロイまで行うので、相当にブラックボックスになっています。

ビルドコマンドはデフォルトでは npm run build か npm run build:Azure が使われますが、パラメータを渡せばカスタマイズ可能です。

ビルドには Oryx が使われているので、実体としては App Service on Linux とような仕組みです。

ビルドログを見ると、app と api でそれぞれ zip が作られてアップロードされているようです。Oryx を使っているので、もうちょっとこみ入ったカスタマイズも出来そうですが、情報待ちにしときます。

そして polling を行いビルドが完了したかをチェックしています。全リージョンにデプロイするために非同期で処理が実行されているようですね。デプロイだけを単独で行うことも出来そうですが、API が公開されるかクライアントが OSS にならないと手を出しにくいです。

Rules Engine で出来ないこと

Rules Engine を使ってみた例

思いつくままにいくつか典型的なルールを作成して試してみました。

Rules Engine Configuration の変更は試した限りでは平均 2 分ぐらいで有効になるので、思ったよりも早いです。設定できるはずに制限はありますが、それなりに柔軟なルールを作成できます。

Rules Engine のデバッグ

Front Door の Rules Engine は設定後、実際に反映されるまでに 2,3 分かかるのと、条件式にマッチしたかどうか判別するのがそのままだと難しい場合もあるので、以下のようにレスポンスヘッダーを追加しておくとマッチしたかどうか簡単に区別がつきます。

正しく条件にマッチしていた場合には、以下のようにレスポンスヘッダーが付いてきます。

Diagnostic settings を有効にして、Front Door の各種ログを出力するようにしてみましたが、Rules Engine にマッチしたかどうかはログに出ていなかったので、現状は上のように工夫する必要がありそうです。

C# SDK を使って Tags をセットする

Azure Storage SDK v12 のプレビュー版に Blob Index への対応が行われているので、ドキュメントに従って特定バージョンのパッケージをインストールすれば使えます。

ドキュメントでは Visual Studio の設定からパッケージソースを追加しろとありますが、グローバルに設定してしまうので nuget.config を用意した方がいろいろと便利です。

最近は dotnet new nuget を使えばひな型を作成できるので簡単です。

<?xml version="1.0" encoding="utf-8"?>
<configuration>
  <packageSources>
    <!--To inherit the global NuGet package sources remove the <clear/> line below -->
    <clear />
    <add key="nuget" value="https://api.nuget.org/v3/index.json" />
    <add key="azure-sdk" value="https://azuresdkartifacts.blob.core.windows.net/azure-sdk-for-net/index.json" />
  </packageSources>
</configuration>

これで特定のプロジェクトに対してのみパッケージソースを追加できました。

サンプルとしてどのような情報を Blob Index Tags に追加しようかと考えたのですが、あまり良いものが思いつかなかったので位置情報付きの写真に対して Reverse Geocoding を実行して国と州を取得し、その情報と撮影日を Blob Index Tags に追加することにしました。

class Program
{
    static async Task Main(string[] args)
    {
        var connectionString = "DefaultEndpointsProtocol=https;AccountName=****;AccountKey=****;EndpointSuffix=core.windows.net";

        var serviceClient = new BlobServiceClient(connectionString);

        var container = serviceClient.GetBlobContainerClient("photos");

        foreach (var file in Directory.GetFiles(@"C:\Users\shibayan\Documents\images", "*.jpg"))
        {
            var blob = container.GetBlobClient(Guid.NewGuid() + Path.GetExtension(file));

            var reader = new ExifReader(file);

            reader.GetTagValue(ExifTags.DateTimeOriginal, out string dateTimeOriginal);

            var date = DateTime.ParseExact(dateTimeOriginal, new[] { "yyyy:MM:dd HH:mm:ss.fff", "yyyy:MM:dd HH:mm:ss" }, CultureInfo.InvariantCulture, DateTimeStyles.None);

            var (state, country) = await ReverseGeocodingAsync(reader.GetLatitude(), reader.GetLongitude());

            var options = new UploadBlobOptions
            {
                Tags = new Dictionary<string, string>
                {
                    { "Type", Path.GetExtension(file).ToLower() },
                    { "Date", date.ToString("yyyy-MM-dd") },
                    { "State", state },
                    { "Country", country }
                }
            };

            await blob.UploadAsync(file, options);
        }
    }

Reverse Geocoding 周りや Exif の処理に関しては Blob Index Tags と関係ないので省略しています。

Blob の作成と同時に Blob Index Tags の追加を行っていますが、後から Blob Index Tags だけ更新することも出来るので、上手く使い分けていきましょう。Case-sensitive なのでキーと値の作成には注意します。

とりあえず Azure Portal から Blob Index を使ったフィルタリングを試してみました。前に Surface Pro X を買うためにハワイに行った時の写真だけを絞り込んでみます。

適当な Blob を開いてみたところ、ちゃんとハワイの写真でした。フィルタリングは一瞬で行われます。

次は 2019/03/19 にアメリカで撮影した写真のフィルタリングを行いました。この日はレドモンドで MVP Global Summit が開催されていたので、写真がそれなりにあります。

フィルタリング結果を選択すると、Blob Index Tags の確認が出来ます。正しい写真が返ってきています。

現実的には Azure Portal からのフィルタリングは行わないし、今の Azure Portal では特定のコンテナー内でしかフィルタリングが行えないので、SDK を使ってフィルタリングを実施してみます。

C# SDK を使って Tags でフィルタリング

フィルタリングのクエリは SQL っぽいよく見るやつですが、クオートの書き方が少し特殊です。

class Program
{
    static async Task Main(string[] args)
    {
        var connectionString = "DefaultEndpointsProtocol=https;AccountName=****;AccountKey=****;EndpointSuffix=core.windows.net";

        var serviceClient = new BlobServiceClient(connectionString);

        var query = @"""Country"" = 'United States' AND ""State"" = 'Hawaii'";

        Console.WriteLine($"Query: {query}");
        Console.WriteLine("================================================================");

        await foreach (var result in serviceClient.FindBlobsByTagsAsync(query))
        {
            Console.WriteLine($"Result: {nameof(result.ContainerName)} = {result.ContainerName}, {nameof(result.Name)} = {result.Name}");
        }
    }
}

Blob Index のクエリではキー名はダブルクオートで括る必要があり、値はシングルクオートで括る必要があります。キーと値を分けるための仕様かと思いましたが、左右入れ替えるとエラーになるので謎です。

フィルタリング結果は IAsyncEnumerable<T> を使って取得しています。

Azure Portal を使った時と同じ結果が返ってきました。正しくフィルタリングは動作しています。

現状の Blob Index には残念な仕様が多くあるので、以下のセクションに目を通しておくとよいと思います。自分は先に読んでいなかったので割と時間を無駄にした感があります。

具体的には一部のオペレーターを同時に使うことが出来ない問題があります。例えば以下のようなクエリはエラーになるので Blob Index では現在使うことが出来ません。

"Country" = 'United States' AND "Date" >= '2019-03-19'

一番クエリとしては使いたい系だとは思いますが、これはエラーになるので諦めるしかないです。

Lifecycle Management

設定した Blob Index Tags は Lifecycle Management のフィルタリングにも使えるので、これまで以上に柔軟な制御が行えるようになりました。

Lifecycle Management では利用できるオペレーターが増えているので、通常の Blob に対するフィルタリングより柔軟な定義が書けるようになっています。

考えられるユースケース

これまでも Blob のメタデータを Cosmos DB に入れて検索に使っていた場合には、数に寄りますが Cosmos DB を排除して全て Blob Index に移行することも出来そうです。

とはいえ Blob Index は補助的に使うのにとどめておいた方が良い感じですね。やはりセカンダリインデックス的な。これまで Blob Storage ではコンテナーとファイルパスを工夫して、日付や ID / パーティションキーでアクセス出来るようにしてきたと思います。その設計と Blob Index を組み合わせるのが最適でしょう。

基本はパス設計で解決しつつ、処理ステータスなどの変更可能な状態に関しては Blob Index に、不変かつクエリが必要ないものはメタデータに入れるといった設計上の工夫が必要だろうと感じました。

Lifecycle Management と組み合わせて、ステータスが完了なっていて変更から 30 日経過した Blob を自動削除や Cool Storage に移動といった処理も書けるので、結構使い道はあると思います。これまでは処理が完了した時には別コンテナーに移動していたと思いますが、Blob Index を使うと必要なさそうです。

Change Feed と組み合わせると結構面白そうな気がするんですが、同時に使えるリージョンが無いので GA かもうちょっとプレビュー対象のリージョンが広がるまで待つ必要があります。